不仅僵尸网络可以劫持PC来达到邪恶的目的。微软和思科的Talos研究人员已经确定了一种新的恶意软件菌株Nodersok(或Divergent)，该恶意软件使用Web应用程序将系统转变为恶意Internet流量的代理。攻击使受害者通过流氓广告或下载来运行HTA(HTML应用程序)文件，从而引发一系列复杂的事件。JavaScript中的HTA下载一个单独的JavaScript文件，并认为随后运行一个PowerShell命令下载并运行的工具一大堆，包括那些禁用的Windows Defender，要求更多的控制，捕获数据包和创建预期的代理。

至关重要的是，无论它们是内置在Windows中还是从第三方下载，感染都依赖于合法程序来完成其任务。没有将恶意软件程序复制到存储。这种方法使安全团队很难研究代码并制定对策。

不确定谁在Nodersok的背后。但是，它似乎是针对日常犯罪分子而非敌对国家的。思科认为我是“主要设计”用于点击欺诈或自动生成广告点击以增加网站收入的做法。大多数目标是欧洲和美国的典型消费者，而不是公司或政府用户。

微软和思科都热衷于吹捧其企业级防御系统阻止恶意软件的能力。但是，大多数人无法访问这些资源，而传统的基于签名的防病毒软件则很难。微软表示，Nodersok最近几周将目标对准了“成千上万台机器”，并且在不久的将来可能不会放松。